Vijf denkfouten over cybersecurity

Maat: px
Weergave met pagina beginnen:

Download "Vijf denkfouten over cybersecurity"

Transcriptie

1 Vijf denkfouten over cybersecurity Een bestuurdersperspectief op cybersecurity ADVISORY kpmg.nl

2 2 Vijf Continuous denkfouten auditing over and cybersecurity continuous monitoring: The current status and the road ahead

3 Vijf denkfouten over cybersecurity 3 Inhoud Voorwoord Introductie 6 De vijf meest gemaakte denkfouten over cybersecurity 8 Komen tot een maatwerkaanpak 11 Hoe weet u als bestuurder hoe uw organisatie ervoor staat? 12 Tot slot 14

4 4 Vijf denkfouten over cybersecurity Voorwoord Dat cybersecurity belangrijk is voor elke organisatie, dat behoeft eigenlijk geen nadere toelichting. Vrijwel dagelijks bewijzen incidenten dat de risico s groot zijn en dat zowel individuele hackers als professioneel georganiseerde cybercriminelen zich roeren. Bestuurders staan dan ook voor de taak erop toe te zien dat binnen hun organisatie de juiste prioriteiten worden gesteld. Dat is voor velen echter niet eenvoudig omdat de wereld van cybersecurity wat ongrijpbaar is vanwege het technisch jargon en het gespecialiseerde karakter. Generalisten kunnen er maar moeilijk vat op krijgen. Bovendien is het lastig om hoofdzaken van bijzaken te scheiden terwijl berichten in de media bijdragen aan een angstcultuur waarin het beeld ontstaat dat vrijwel elke organisatie een willoze prooi is. Er wordt nauwelijks onderscheid gemaakt tussen oplichters op marktplaats.nl, hackers die een website platleggen of georganiseerde criminele groepen die met een stelselmatige strategie uit zijn op het stelen van bedrijfsgeheimen. Terwijl dat onderscheid van groot belang is, want niet alle organisaties zijn even aantrekkelijk voor deze verschillende typen van cybercrime. Mede doordat begrippen door elkaar heen lopen is cybersecurity een lastig thema voor menig bestuurder. Dat mag echter geen excuus zijn om het thema af te schuiven naar gespecialiseerde professionals. Het is juist essentieel dat bestuurders zelf actief sturen op drie aspecten van cybersecurity: (1) de financiële middelen ervoor, (2) een adequate governance en (3) het stimuleren van een cultuur waarin iedereen zich bewust is van zijn verantwoordelijkheden. Bestuurders staan voor de taak om in de complexiteit van dit thema gedegen afwegingen te maken en op zijn minst de juiste vragen stellen. Maar hoe doet u dat? Deze whitepaper geeft handvatten en brengt cybersecurity terug tot de basis. John Hermans KPMG Cybersecurity Lead Partner Gerben Schreurs Partner KPMG Forensic

5 Vijf denkfouten over cybersecurity 5 Wat is cybercrime en wie doet dit? Cybercrime is het geheel van illegale digitale activiteiten die zijn gericht op een organisatie. De term cybercrime omvat een ware wildgroei van doelen en aanvalsmethoden. Een goed begrip van de actor, de persoon of organisatie achter deze aanvallen, is essentieel voor effectief verweer tegen cybercrime. De actoren zijn in te delen in een viertal categorieën: 1 De eenvoudige hacker, gemotiveerd om te laten zien wat hij/zij allemaal kan; 2 De activist, gericht op het uitdragen van een gedachtegoed, vaak gedreven door een ideologie of gericht op het zaaien van angst, gedreven door politieke doelen; 3 Georganiseerde misdaad, gericht op direct geldelijk gewin (bijvoorbeeld door phishing) of indirect geldelijk gewin, gericht op het doorverkopen van bedrijfsgegevens; 4 Staten, gericht op het verbeteren van de geopolitieke positie of vergroting van de interne machtspositie. Het is van essentieel belang dat deze verschillende actoren verschillen in eigenschappen zoals type doelwit van de aanval, de middelen die de actor tot zijn/haar beschikbaarheid heeft alsook het aantal aanvallen welke uitgevoerd worden door deze actor. In een door het Nationale Cyber Security Centrum (NCSC) uitgegeven publicatie is een nadere analyse weergegeven van het cybersecuritybeeld in Nederland, alsmede een gedetailleerde beschrijving van voorkomende cyberactoren.

6 6 Vijf denkfouten over cybersecurity 01 Introductie Cybersecurity: wat u waarschijnlijk al weet De hoeveelheid data blijft exponentieel groeien. Belangrijker nog: de mate waarin organisaties data met elkaar delen via tal van interfaces en apparaten groeit eveneens exponentieel. The internet of things waarin miljarden apparaten variërend van tablets en smartphones tot betaalterminals, beveiligingsinstallaties, olievelden, gebouwbesturingssystemen en thermostaten aan elkaar zijn gekoppeld is eigenlijk al bijna geen toekomstscenario meer maar wordt in rap tempo realiteit. Het gevolg daarvan is dat de afhankelijkheden tussen organisaties steeds groter worden in een sterk genetwerkte samenleving. Organisaties stellen hun IT steeds meer open voor een breed scala toepassingen via alle denkbare (mobiele) apparaten en zijn daarmee voor hun databeveiliging mede afhankelijk van andere organisaties. Bovendien is de continuïteit van kernprocessen zowel maatschappelijk als binnen bedrijven steeds meer afhankelijk van IT. Een verstoring ervan al dan niet door moedwillige inbraak van buiten kan dan ook een grote impact hebben op de beschikbaarheid van diensten. Deze combinatie van ontwikkelingen is natuurlijk ook bekend bij malafide personen en/of organisaties. De aanvallen op netwerken van overheden en bedrijven nemen dan ook toe in aantal en ernst. Cybercriminelen doen dit vanuit verschillende motieven, variërend van uit de hand gelopen hobbyisme of geldelijk gewin tot Drie aandachtsgebieden voor effectieve maatregelen en met spionage of terroristische achtergrond. Dit noopt tot effectieve maatregelen. Organisaties moeten zich goed beschermen en maatregelen nemen om in geval van incidenten snel tot een goede respons te komen. De klassieke drie thema s preventie, detectie en respons verdienen daarbij aandacht (zie kader). Preventie Preventie begint met governance en organisatie. Het gaat naast technische maatregelen onder andere om het beleggen van de verantwoordelijkheid voor cybercrime in de organisatie en om bewustwordingstrainingen voor belangrijke medewerkers. Detectie Een organisatie kan door het monitoren van kritieke gebeurtenissen en centrale veiligheidsincidenten en -gebeurtenissen de technologische detectiemaatregelen versterken. Monitoring en data mining vormen samen een uitstekend instrument om vreemde patronen in het gegevensverkeer op het spoor te komen, te signaleren waar de aanvallen zich concentreren en de systeemprestaties te observeren. Respons Bij respons gaat het om het in werking stellen van een plan zodra zich een aanval voordoet. Bij een aanval moet de organisatie alle getroffen technologie direct buiten werking kunnen stellen. Bij de ontwikkeling van een respons- en herstelplan doet een organisatie er goed aan (informatie)beveiliging te zien als een continu proces en niet als eenmalige oplossing.

7 Vijf denkfouten over cybersecurity 7 Wat u misschien nog niet weet Tot zover alles wat u waarschijnlijk al weet over cybersecurity, want het thema mag zich de laatste jaren in veel belangstelling verheugen. Die aandacht is prima. Tegelijkertijd moeten organisaties zich niet gek laten maken. De media schetsen regelmatig een ongenuanceerd beeld van cybersecurity alsof veel organisaties een haast willoos slachtoffer zijn van cyberboeven. Daarbij wordt alles over één kam geschoren en dat leidt bij bedrijven hier en daar tot angst die niet op feiten is gebaseerd. Een MKB-bedrijf heeft een heel ander profiel dan een multinational en over veel van de in de media genoemde incidenten hoeft een MKB-bedrijf zich dan ook weinig zorgen te maken. De waarheid ligt dan ook genuanceerder dan het beeld in de media. De risico s zijn wel degelijk beheersbaar. Cybercriminelen zijn geen onoverwinnelijke genieën, en het ontbreekt overheden en ondernemingen zeker niet aan kennis om cybercrime te bestrijden. Maar we moeten ons wel realiseren dat honderd procent veiligheid een illusie is en dat het najagen van die honderd procent niet alleen tot frustratie zal leiden maar mogelijk ook tot schijnzekerheid. In feite moeten we cybersecurity gaan beschouwen als business as usual. Als een thema dat op dezelfde wijze aandacht verdient als bijvoorbeeld het risico op brand of fraude. Dit zijn thema s die gestructureerd worden aangepakt door het management, vanuit een risk management perspectief, en dus niet met de gedachte om een systeem te bouwen dat honderd procent waterdicht is. Voor cybersecurity is dat echter veelal nog vloeken in de kerk. We zijn er van overtuigd geraakt dat veel organisaties op een andere manier naar cybersecurity moeten kijken. Ze moeten niet redeneren vanuit angst voor wat er buiten gebeurt, maar redeneren vanuit eigen kracht. Vanuit de juiste overwegingen over risico s en het karakter van de eigen organisatie. Beheer en Organisatie Preventie Detectie Respons Toewijzen van verantwoordelijkheden voor Cybercrime Borgen van 24 x 7 stand-by crisis organisaties Inzetten van forensische analyse vaardigheden Verzorgen van training beveiligingsbewustzijn Processen Uitvoeren cybercrime respons test (simulatie) Uitvoeren procedures voor opvolging van incidenten Uitvoeren cybercrime respons plan Uitvoeren periodieke scans en penetratietesten Technologie Realiseren van adequate desktopbeveiliging Implementeren logging van kritieke processen Stoppen of verbreken van aangevallen IT-diensten Realiseren van netwerksegmentatie Implementeren centraal monitoren van beveiligingsincidenten

8 8 Vijf denkfouten over cybersecurity 02 De vijf meest gemaakte denkfouten over cybersecurity Cybersecurity heeft voor velen iets mysterieus. Dat is waarschijnlijk een van de redenen dat het thema niet altijd op de juiste wijze wordt benaderd. Op basis van onze praktijkervaringen gaan we in dit hoofdstuk in op de vijf meest voorkomende denkfouten over cybersecurity. 1 Denkfout: We moeten gaan voor 100% beveiliging Werkelijkheid: 100% zekerheid is onhaalbaar en ongewenst Vrijwel elke luchtvaartmaatschappij claimt dat vliegveiligheid de allerhoogste prioriteit heeft. Welbeschouwd is dat onmogelijk. Immers, als de veiligheid echt de hoogste prioriteit zou hebben, dan zou er geen vliegtuig meer opstijgen. Datzelfde geldt ook voor cybersecurity. Met name grote organisaties met een grote maatschappelijke bekendheid zullen een keer te maken krijgen met een incident waarbij informatie wordt ontvreemd of publiek gemaakt, of met een meer ingrijpende verstoring van bedrijfsprocessen. Hoge bomen vangen immers veel wind. satie én de crimineel (preventie), het signaleren en analyseren van de belangrijkste activa (detectie) en het opzetten van een organisatie die incidenten direct oppakt (respons). In de praktijk ligt de nadruk nu vaak op de preventie (het opwerpen van dikke en hoge muren die indringers moeten tegenhouden). Wie echter doordrongen is van het feit dat een volledige beveiliging een illusie is en dat cybersecurity business as usual is begrijpt direct dat er vooral ook meer nadruk moet zijn op een adequate respons. Organisaties moeten in staat zijn om na een incident variërend van diefstal van informatie tot een ontwrichtende aanval op de kernsystemen snel de zaken op orde te krijgen. Daarmee bewijzen ze dat ze in control zijn. 2 Denkfout: Als we investeren in bestof-class tools, dan zijn we veilig Werkelijkheid: Cybersecurity gaat minder om technologie dan u denkt De wereld van cybersecurity wordt gedomineerd door gespecialiseerde leveranciers die geavanceerde Alleen al de bewustwording dat een 100% bescherming tegen cybercrime geen haalbaar en wenselijk doel is, is een belangrijke stap op weg naar een effectiever beleid. Dat maakt immers de weg vrij om met de bril van een risicomanager te kijken naar een goede beveiliging tegen cybercrime. Daarbij gaat het om het analyseren van risico s vanuit het perspectief van de organiproducten verkopen waarmee organisaties indringers kunnen weren of tijdig opsporen. Die tools zijn essentieel voor een adequate beveiliging evenals een goede samenhang in de technologie (de architectuur) maar vormen niet het startpunt van een goed beleid voor cybersecurity: A fool with a tool is still a fool. De aanschaf van goede tools is namelijk juist de laatste stap in dat beleid. Goede beveiliging begint met het op orde krijgen van de processen voor cyber defense. Daarbij hoort ook dat de professionals in de IT-functie volledig doordrongen zijn van de noodzaak tot cybersecurity. Daarnaast gaat het om kennis en bewustzijn bij de eindgebruiker. De mens is en blijft zowel als IT-professionals als eindgebruiker - vaak de zwakste schakel als het gaat om veiligheid en investeren in de allerbeste tools is dan ook alleen maar zinvol als mensen hun verantwoordelijkheden op dit punt begrijpen. Social engineering - waarbij hackers het vertrouwen winnen van medewerkers door slim sociaal gedrag en daardoor toegangsrechten weten te krijgen tot systemen blijft een van de belangrijkste risico s. En daar is met technologie weinig tegen te doen. De juiste

9 Vijf denkfouten over cybersecurity 9 cultuur voor cybersecurity betekent ook dat er een open meldcultuur is waarin medewerkers zonder angst voor represailles melding kunnen doen van zaken die mis gaan. Juist daarom is het zaak dat bestuurders dit thema niet delegeren. Zij moeten oprechte interesse tonen en bereid zijn zich te verdiepen in de dilemma s die daarbij een rol spelen. Ze dienen het belang en de urgentie ervan uit te stralen naar de gehele organisatie, zodat er een cultuur kan ontstaan waarin medewerkers alert zijn op dreigingen. 3 Denkfout: Onze wapens moeten beter zijn dan die van de hackers Werkelijkheid: Het beveiligingsbeleid wordt primair door u bepaald, niet door de aanvallers De strijd tegen cybercrime is een typisch voorbeeld van een moeilijk te winnen ratrace. De aanvallers ontwikkelen steeds weer nieuwe methoden en technieken en de verdediger staat dan ook haast per definitie op achterstand. Zo lijkt het tenminste. Maar is dat wel zo? En is het dan wel zinvol om hijgend achter de vijand aan te lopen en nog betere tools in te zetten om hem buiten te houden? Natuurlijk is het zaak op zijn minst zo goed mogelijk bij te blijven in deze race en u goed te verdiepen in de (motieven en tactieken van) mogelijke aanvallers. Het is echter vooral ook verstandig om niet alleen maar in een reactieve rol te zitten maar in plaats daarvan het beleid ook vorm te geven vanuit het karakter van de eigen organisatie en een flexibele, proactieve houding in te nemen. Bestuurders dienen zich daartoe af te vragen waar de grote waarden in hun organisatie zitten en welke onderdelen essentieel zijn voor het bestaansrecht. Het beleid dient zich primair te richten op deze onderdelen, aangezien daar de grootste risico s zijn ten aanzien van kosten (reputatieschade, inkomstenderving, publiek worden intellectueel eigendom). Kortom: bestuurders mogen zich niet laten verblinden door de nieuwigheden in cybercrime, maar moeten vanuit de eigen organisatie redeneren. In feite gaat het voortdurend om het maken van een business case voor cybersecurity vanuit eigen kracht, en op basis daarvan een maatwerkaanpak met de juiste tools te ontwikkelen. Belangrijke vragen voor bestuurders zijn daarbij: Weten we voor wie we interessant zijn en waarom? Weten we welke risico s we op dit terrein bereid zijn om te accepteren (risk appetite) Hebben we inzicht in welke systemen de belangrijkste waarden (en ons bestaansrecht) liggen besloten? Wat die laatste vraag betreft: Een organisatie kan heel anders tegen de waarde van activa aankijken dan een crimineel. Het is dus belangrijk de waarde van activa te bekijken vanuit het perspectief van zowel de organisatie als dat van de crimineel 1. In dat opzicht moeten we ons ook realiseren dat het bedrijfsleven en de technologie zich in ketens hebben ontwikkeld en dat organisaties dus mede afhankelijk zijn van elkaars beveiliging. 4 Denkfout: We moeten streng controleren of de cybersecurity procedures worden nageleefd Werkelijkheid: Het vermogen om te leren is belangrijker dan het vermogen om te controleren Alleen een organisatie die in staat is om externe ontwikkelingen en plotselinge gebeurtenissen te vertalen naar het beleid door ervan te leren dus kan op langere termijn succes blijven boeken. Dat geldt op een breed terrein, en het geldt ook voor cybersecurity. De praktijk laat zien dat cybersecurity sterk wordt gedreven door compliance. Dat is begrijpelijk, want veel organisaties hebben te maken met verplichtingen vanuit een breed scala aan wet- en regelgeving. Het is echter contraproductief om compliance als een doelstelling van het cybersecuritybeleid te zien. 1 Zie ook Een genuanceerde visie op cybercrime, KPMG 2012

10 10 Vijf denkfouten over cybersecurity Het gaat immers bij cybersecurity niet alleen om het vermogen om te controleren maar ook om het vermogen om te leren. Dat betekent concreet onder andere het volgende: Organisaties moeten inzicht hebben in hoe de dreigingen en patronen in de omgeving zich ontwikkelen en daarop anticiperen; een scherp zicht hierop is vaak een veel betere versterking van de veiligheid dan het opwerpen van nog hogere muren door tools. Dat gaat verder dan monitoring van infrastructuren, het gaat om een slimme analyse van ontwikkelingen buiten de organisatie waarmee men patronen combineert. Dit aspect is vaak onderbelicht en biedt mogelijkheden om op kosteneffectieve wijze de veiligheid op een hoger niveau te krijgen. De praktijk is helaas dat veel organisaties teveel het wiel zelf uitvinden en te weinig gebruik maken van de kennis die er al is. Organisaties moeten zorgen dat incidenten ook worden geëvalueerd zodat er lering kan worden getrokken uit deze incidenten. De praktijk is echter dat er bij een incident nog te vaak in een paniekmodus wordt gehandeld. Daardoor is de reactie niet alleen suboptimaal paniek is vaak fnuikend voor daadkracht maar gaat ook het leereffect verloren. Als er goede feedback loops zijn, wordt het mogelijk om niet alleen maar brandjes te blussen maar ook om op basis van de ervaring met die brandjes te komen tot een betere brandpreventie. Datzelfde geldt ook voor de monitoring van aanvallen van buiten. In veel gevallen zijn er prima mogelijkheden geïmplementeerd voor monitoring, maar staat deze monitoring teveel in een isolement ten opzichte van de rest van de organisatie. Van de opgedane informatie wordt niet of onvoldoende geleerd. Bovendien vergt monitoring ook een goed doordachte focus: Pas als je goed weet wat je wilt monitoren, wordt monitoring een goed middel om aanvallen tijdig in het vizier te krijgen. Organisaties dienen de informatievoorziening over cybersecurity te structureren. Dit vergt onder andere 5 een betere informatievoorziening aan bestuurders: nagaan wanneer wel/niet escalatie naar boven nodig is en het bestuur een goed inzicht met de juiste mate van detail geven in welke risico s er spelen en hoe relevant deze op strategisch niveau zijn. Denkfout: We moeten de beste professionals aantrekken om ons te wapenen tegen cybercrime Werkelijkheid: Cybersecurity is geen afdeling maar een houding Cybersecurity wordt vaak gezien als de verantwoordelijkheid van een afdeling gespecialiseerde professionals. Dat doet echter geen recht aan de uitdaging en heeft bovendien het risico van schijnzekerheden. Want de rest van de organisatie beschouwt het niet als hun probleem als er incidenten optreden en de reflex is dan vaak om te investeren in verdere versterking van die afdeling. Dat is een heilloze weg. De echte uitdaging zit erin om cybersecurity te integreren in alles wat je doet. Dat betekent bijvoorbeeld dat cybersecurity een onderdeel is van het HR-beleid met in sommige gevallen zelfs een koppeling met het beloningsbeleid. Het betekent ook dat cybersecurity een centrale plaats moet krijgen bij de ontwikkeling van nieuwe IT-systemen en niet, zoals vaak gebeurt, op het einde van zo n project pas aandacht krijgt.

11 11 Telelens op de toekomst Vijf denkfouten over cybersecurity Komen tot een maatwerkaanpak De risico s zijn bij een lokale ondernemer van een heel ander kaliber dan bij een wereldwijd opererende multinational. Bij de laatste is de zichtbaarheid voor criminelen groter, is de afhankelijkheid van IT hoger, en staan er grotere belangen en (reputatie)risico s op het spel. In beide gevallen is het echter nodig om vanuit de typologie van de eigen organisatie, de risicobereidheid en de kennis te komen tot een maatwerkaanpak. Dat is echter precies waar het aan schort. In dit verband is het zinvol om de vergelijking te maken met hoe een juwelier komt tot een goede diefstalbeveiliging. De onderstaande tabel biedt dan ook zowel een MKB-onderneming als een multinational een kritische spiegel. Perspectief van juwelier op diefstalbeveiliging Ik weet welke waarden ik moet beschermen en stem mijn maatregelen daarop af. Ik zie diefstal als het risico van het vak en weet dat ik niet meer in business ben als ik 100% zekerheid wil. Ik focus op maatregelen die voorkomen dat er iemand naar buiten gaat met waardevolle spullen. Ik laat me niet gek maken door leveranciers van beveiligingsmiddelen en bepaal zelf wel wat ik aanschaf. Ik trek lering als het (bijna) fout gaat. Ik train medewerkers over hoe ze de risico s van diefstal kunnen verkleinen en spreek hen erop aan als ze fouten maken. Ik investeer in middelen omdat dat mijn bestaansrecht is. Veel voorkomend perspectief op cybersecurity Ik neem maatregelen zonder een goed beeld te hebben van welke waarden essentieel zijn om te beschermen. Ik zie cybercrime als iets exotisch en streef naar 100% zekerheid. Ik focus op maatregelen die voorkomen dat er iemand binnenkomt en vergeet om maatregelen te nemen die tegengaan dat er informatie naar buiten gaat. Ik laat mijn security beleid sterk afhangen van de beschikbare middelen op de markt zonder precies te weten wat ik nodig heb. Ik schiet in de paniek als het (bijna) fout gaat. Ik beschouw cybersecurity vooral als een zaak van gespecialiseerde professionals en wil er de rest van de organisatie niet teveel mee lastig vallen. Ik investeer in middelen omdat dat verplicht is en omdat er elke dag incidenten staan in de media.

12 12 Vijf denkfouten over cybersecurity 04 Hoe weet u als bestuurder hoe uw organisatie ervoor staat? Als bestuurder wilt u weten of uw organisatie een adequaat beleid heeft voor cybersecurity. KPMG gaat daarbij uit van een model dat op zes dimensies een visie oplevert. Legal & Compliance Leadership Human Factors Leiderschap en governance Bestuurders dienen in woord en daad te laten zien dat ze zich eigenaar voelen van het thema en laten zien dat ze de ermee samenhangende risico s adequaat willen managen. Gedragsfactoren Cybersecurity heeft niet (alleen) te maken met de juiste technische maatregelen, maar ook met het creëren van een cultuur waarin mensen alert zijn en zich bewust zijn van hoe zij kunnen bijdragen aan veiligheid. Ops & Technology Info Risk Mgmt Information Risk Management Een adequate aanpak voor alomvattend en effectief risicomanagement ten aanzien van informatievoorziening, ook in relatie tot partnerorganisaties. Business Continuity

13 Vijf denkfouten over cybersecurity 13 Business Continuity en Crisis Management Een goede voorbereiding op eventuele incidenten en het vermogen om de impact van deze incidenten te minimaliseren. Dit omvat onder meer crisis- en stakeholdermanagement. Beheersmaatregelen en controls De implementatie van controle- en beheersingsmaatregelen in de organisatie om risico s van cybersecurity te identificeren en de impact van incidenten te minimaliseren. Juridisch Het voldoen aan wet- en regelgeving ten aanzien van informatiebeveiliging. Het toepassen van dit holistische model levert organisaties het volgende op: Het minimaliseren van het risico dat een organisatie wordt getroffen door een cyberaanval van buiten en het minimaliseren van de eventuele gevolgen van een succesvolle aanval. Betere beslissingen op het gebied van cybersecurity: de informatievoorziening over maatregelen, aanvalspatronen en incidenten wordt daartoe geoptimaliseerd. Heldere communicatielijnen over het thema cybersecurity. Iedereen kent zijn verantwoordelijkheden en weet wat er moet gebeuren als er (vermoedens van) incidenten zijn. Een bijdrage aan een betere reputatie. Een organisatie die goed is voorbereid en goede afwegingen over het thema cybersecurity heeft gemaakt kan op vertrouwenwekkende wijze communiceren over dit thema. Het verhogen van de kennis en competenties over cybersecurity. Het benchmarken van de organisatie op het gebied van cybersecurity in relatie tot peers. Leadership and Governance Board demonstrating due diligence, ownership and effective management of risk. Information Risk Management The approach to achieve comprehensive and effective risk management of information throughout the organization and its delivery and supply partners. Operations and Technology The level of control measures implemented to address identified risks and minimize the impact of compromise. Human Factors The level and integration of a security culture that empowers and ensures the right people, skills, culture and knowledge. Business Continuity and Crisis Management Preparations for a security event and ability to prevent or minimize the impact through succesful crisis and stakeholder management. Legal and Compliance Regulatory and international certification standards as relevant.

14 14 Vijf denkfouten over cybersecurity 05 Tot slot... tijd voor actie Cybersecurity is zeker een thema dat u als bestuurder op uw agenda moet hebben staan. Zowel uw toezichthouders, raad van commissarisleden als aandeelhouders verwachten dat u voldoende aandacht heeft voor deze steeds groter wordende problematiek. Daarom is het noodzakelijk om de volgende vragen te beantwoorden voor uw organisatie: 1 Hoe groot is het risico voor mijn organisatie, alsmede de organisaties waar ik zaken mee doe? Startpunt van uw verkenning van dit probleem, is het bepalen van het risicoprofiel van uw organisatie. Hoe interessant is uw organisatie voor potentiële cybercriminelen? Hoe afhankelijk is uw organisatie van de dienstverlening van andere organisaties. En tenslotte hoeveel risico wilt u als organisatie lopen? Immers 100% veiligheid bestaat niet! Bij deze een paar kernvragen die u kunt gebruiken voor het bepalen van uw risicoprofiel alsook risk appetite: Weten we welke processen en/of systemen de grootste waarde vertegenwoordigen vanuit het perspectief van cybersecurity? Hebben we wel bewust nagedacht over hoeveel risico s we voor deze processen en/of systemen bereid zijn te accepteren? (risk appetite) Hoe geïntegreerd / afhankelijk is de dienstverlening van de organisatie met / van dienstverlening van partners (toeleveranciers, klanten) en wat is de mate van integratie van de ondersteunende IT processen? Hebben deze partners een zelfde beeld over de risk appetite en de daarop afgestemde maatregelen op het gebied van cybersecurity? Ontwikkelen we duidelijke business cases voor onze investeringen in cybersecurity?

15 Vijf denkfouten over cybersecurity 15 2 Technologie is niet het antwoord, het antwoord is gelegen in de combinatie van governance, cultuur en gedrag. En u als bestuurder heeft daar een belangrijke rol. Zonder uw commitment zal een gedrags- en cultuurverandering in uw organisatie niet plaatsvinden. Kernvragen die in dit kader relevant zijn om te beantwoorden: Hebben we zicht op hoe onze organisatiecultuur bijdraagt (of juist een belemmering vormt) voor goede cybersecurity? Wanneer hebben we als bestuur voor het laatst zelf iets gecommuniceerd over (het belang van) cybersecurity? Zijn we voorbereid om te handelen bij een crisis of incident? Weten wie wie en hoe we moeten communiceren? En kunnen we dan aan stakeholders verantwoording afleggen over hoe ons beleid voor cybersecurity eruit ziet? 3 Hoeveel budget moet u als organisatie vrijmaken en waar aan te besteden? Afhankelijk van het risicoprofiel van uw organisatie, kan het budget voor cybersecurity oplopen tot 3 tot 5% van uw totale IT budget. Op dit moment wordt vaak een significant deel besteed aan het implementeren van technologische oplossingen alsmede het oplossen van problemen uit het verleden. Kernvraag die hier te beantwoorden is: Hoeveel van ons budget gaat naar het oplossen van problemen uit het verleden en hoeveel naar structurele investeringen in betere veiligheid (security by design) van systemen? Maar dit is slechts een deel van de oplossing. Zonder een goede governance, goede cyber security processen en natuurlijk ruime aandacht voor de bewustwording en cultuurverandering, zullen deze technologische oplossingen hun waarde niet bewijzen. Kortom, stel u eens de vraag: Hoeveel van ons budget voor cybersecurity gaat naar systemen en tools, en hoeveel naar bewustwording en cultuurverandering? Kortom, tijd voor actie! Deze publicatie is tot stand gekomen met dank aan: Peter Kornelisse, Koos Wolters, Dennis van Ham, Ronald Heil, Harald Oymans, Stan Hegt en Tamara Kipp.

16 Contact John Hermans KPMG Cybersecurity Lead Partner T: +31 (0) E: Gerben Schreurs Partner KPMG Forensic T: +31 (0) E: schreurs. KPMG Laan van Langerhuize DS Amstelveen P.O. Box DC Amstelveen De in dit document vervatte informatie is van algemene aard en is niet toegespitst op de specifieke omstandigheden van een bepaalde persoon of entiteit. Wij streven ernaar juiste en tijdige informatie te verstrekken. Wij kunnen echter geen garantie geven dat dergelijke informatie op de datum waarop zij wordt ontvangen nog juist is of in de toekomst blijft. Daarom adviseren wij u op grond van deze informatie geen beslissingen te nemen behoudens op grond van advies van deskundigen na een grondig onderzoek van de desbetreffende situatie., ingeschreven bij het handelsregister in Nederland onder nummer , is een dochtermaatschappij van KPMG Europe LLP en lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative ( KPMG International ), een Zwitserse entiteit. Alle rechten voorbehouden. De naam KPMG, het logo en cutting through complexity zijn geregistreerde merken van KPMG International.

Cyber security, een onderwerp voor aan de bestuurstafel

Cyber security, een onderwerp voor aan de bestuurstafel Cyber security, een onderwerp voor aan de bestuurstafel Ing. John Hermans RE Cyber security, een onderwerp dat de laatste jaren volop in de schijnwerpers staat. Met name door het aantal en de ernst van

Nadere informatie

Risico s managen is mensenwerk

Risico s managen is mensenwerk TRANSPORT Risico s managen is mensenwerk Ondernemen is kansen zien en grijpen, maar ook risico s lopen. Risicomanagement behoort daarom tot de vaste agenda van bestuurders en commissarissen. Omdat ook

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level! 1! 1. Introductie Agenda! 2. Stand van zaken in de Cyber Security wereld 3. Verschillende soorten

Nadere informatie

Identity & Access Management & Cloud Computing

Identity & Access Management & Cloud Computing Identity & Access Management & Cloud Computing Emanuël van der Hulst Edwin Sturrus KPMG IT Advisory 11 juni 2015 Cloud Architect Alliance Introductie Emanuël van der Hulst RE CRISC KPMG IT Advisory Information

Nadere informatie

Onderzoek Soft controls bij interne accountantsdiensten: Terugkoppeling bevindingen

Onderzoek Soft controls bij interne accountantsdiensten: Terugkoppeling bevindingen RISK & COMPLIANCE Onderzoek Soft controls bij interne accountantsdiensten: Terugkoppeling bevindingen 16 februari 2010 ADVISORY Onderwerp: Onderzoek Soft controls binnen interne accountantsdiensten Geachte

Nadere informatie

Security Management Trendonderzoek. Chloë Hezemans

Security Management Trendonderzoek. Chloë Hezemans Security Management Trendonderzoek Chloë Hezemans Security Management Survey (5 e editie) Agenda Voorstellen Methode Trends Opvallende resultaten deze editie Security Management 2020? Voorstellen Chloë

Nadere informatie

Sourcing realiseert u onder andere met behulp van een van de volgende oplossingsrichtingen:

Sourcing realiseert u onder andere met behulp van een van de volgende oplossingsrichtingen: Sourcing ADVISORY Sourcing wordt door veel organisaties omarmd als een belangrijk middel om de financiële en operationele prestatie te verbeteren. Welke functies binnen de organisatie behoren echt tot

Nadere informatie

Security Starts With Awareness

Security Starts With Awareness Security Starts With Awareness Think Secure Think Secure is in 2003 opgericht met het doel organisaties te ondersteunen met kennis en diensten die: 1.Het bewustzijn m.b.t. informatie- en ICT beveiliging

Nadere informatie

Veranderende eisen van institutionele klanten. Institutioneel vermogensbeheer in 2020 11 december 2012

Veranderende eisen van institutionele klanten. Institutioneel vermogensbeheer in 2020 11 december 2012 Veranderende eisen van institutionele klanten Roel Menken Institutioneel vermogensbeheer in 2020 11 december 2012 2020 is geen science fiction 2020 is al over 7 jaar! Parallellen met de consumentengoederenmarkt

Nadere informatie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

Onderzoeksresultaten big data. Ook middenbedrijf ontdekt toegevoegde waarde big data

Onderzoeksresultaten big data. Ook middenbedrijf ontdekt toegevoegde waarde big data Onderzoeksresultaten big data Ook middenbedrijf ontdekt toegevoegde waarde big data Mei 2014 Inhoudsopgave Samenvatting 2 Onderzoeksresultaten 3 Contactpersonen 7 Onderzoeksresultaten big data 2 Samenvatting

Nadere informatie

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw OPERATIONEEL RISKMANAGEMENT Groningen, maart 2016 Wim Pauw Risicomanagement Risicomanagement is steeds meer een actueel thema voor financiële beleidsbepalers, maar zij worstelen vaak met de bijbehorende

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Visie op crisismanagement in de zorgsector en de toegevoegde waarde van een Integraal Crisisplan. All hazard voorbereid zijn (1 van 3)

Visie op crisismanagement in de zorgsector en de toegevoegde waarde van een Integraal Crisisplan. All hazard voorbereid zijn (1 van 3) Visie op crisismanagement in de zorgsector en de toegevoegde waarde van een Integraal Crisisplan All hazard voorbereid zijn (1 van 3) Versie 1.0 11 november 2014 Voorwoord Zorginstellingen zijn vanuit

Nadere informatie

Nieuwe contractvormen en projectcontrol

Nieuwe contractvormen en projectcontrol Nieuwe contractvormen en projectcontrol Rin-Sjoerd Zijlstra 12 juni 2014 Agenda Projecten in het nieuws Nieuwe kijk op projecten? Projectfalen en contractvorm Keuze voor juiste contractvorm Projectcontrol

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

BENT U ER KLAAR VOOR?

BENT U ER KLAAR VOOR? ISO 9001:2015 EN ISO 14001:2015 HERZIENINGEN ZIJN IN AANTOCHT BENT U ER KLAAR VOOR? Move Forward with Confidence WAT IS NIEUW IN ISO 9001:2015 & ISO 14001:2015 MEER BUSINESS GEORIENTEERD KERNASPECTEN "LEIDERSCHAP

Nadere informatie

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research Nationale IT Security Monitor 2015 Peter Vermeulen Over het Onderzoek Jaarlijks terugkerende vragen Organisatie en beleid Investeringen en groei 2015 Thema s Databeveiliging (incl. Algemene Data Protectie

Nadere informatie

bedrijfsfunctie Harm Cammel

bedrijfsfunctie Harm Cammel Legal als geïntegreerde bedrijfsfunctie Harm Cammel Legal als Business functie Observatie 1. Door veranderende klantbehoefte verandert (een deel van) de Legal functie van ad hoc en vak gedreven naar continu

Nadere informatie

Sturing op ICT STRATEGISCHE BESLUITVORMING GOVERNANCE INNOVATIE. 24 sept 2015; Jurgen Bomas

Sturing op ICT STRATEGISCHE BESLUITVORMING GOVERNANCE INNOVATIE. 24 sept 2015; Jurgen Bomas Sturing op ICT STRATEGISCHE BESLUITVORMING GOVERNANCE INNOVATIE Sturen op ICT en samenhang met business Maes als onderzoek model Vanuit onderzoek in bedrijfsleven: IT beslissing Rol Directie Consequentie

Nadere informatie

6. Project management

6. Project management 6. Project management Studentenversie Inleiding 1. Het proces van project management 2. Risico management "Project management gaat over het stellen van duidelijke doelen en het managen van tijd, materiaal,

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga INFORMATIEVEILIGHEID een uitdaging van ons allemaal ICT Noord, Harro Spanninga Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid

Nadere informatie

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers Je bent zichtbaarder dan je denkt Een programma over cyber security awareness Informatie voor managers Je bent zichtbaarder dan je denkt Informatie voor managers 2 Voorwoord Het cybersecuritybeeld van

Nadere informatie

Business Continuity Management

Business Continuity Management Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het

Nadere informatie

Corporatie in control

Corporatie in control Corporatie in control Professionalisering van de financiële functie Een onderzoek naar de volwassenheid van de financiële functie en ambitie voor de toekomst KPMG 201 2 Corporaties in control Inleiding

Nadere informatie

Bedrijfscontinuïteit met behulp van een BCMS

Bedrijfscontinuïteit met behulp van een BCMS Bedrijfscontinuïteit met behulp van een BCMS 26 november 2014 Aart Bitter@ISGcom.nl www.information-security-governance.com Disaster Recovery Plan 2 The Bitter Brew Case To Brew or not to Brew, That s

Nadere informatie

Visie op cybercrime. Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab. Rabobank Nederland. Februari 2011

Visie op cybercrime. Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab. Rabobank Nederland. Februari 2011 Visie op cybercrime Rob Heijjer MSc, CISSP Crisismanagement & Fraudebestrijding Security Lab Februari 2011 Rabobank Nederland Virtuele kanalen... Er zijn vele wegen Telefoon Voice & IVR (DTMF) TV WWW e-mail

Nadere informatie

diepgaande analyse en inzicht in besparingspotentieel

diepgaande analyse en inzicht in besparingspotentieel HR benchmark: diepgaande analyse en inzicht in besparingspotentieel KPMG ziet veel corporaties die gedwongen zijn, of anticiperen op schaarser wordende middelen en veranderende kerntaken. Aangezien de

Nadere informatie

Wat zijn e-skills? Wat is het probleem met e-skills?? Wat is het probleem voor Nederland? TaskForce e-skills Nederland

Wat zijn e-skills? Wat is het probleem met e-skills?? Wat is het probleem voor Nederland? TaskForce e-skills Nederland Agenda Wat zijn e-skills? Wat is het probleem met e-skills?? Wat is het probleem voor Nederland? TaskForce e-skills Nederland Resultaten Ronde Tafel Conferentie 15 september Plan van Aanpak Nederland e-skills

Nadere informatie

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data Asset 1 van 10 Big Data Analytics voor Dummies Gepubliceerd op 30 june 2014 Gelimiteerde editie van de populaire Dummies-reeks, speciaal voor managers. Het boek legt uit waarom Big Data Analytics van cruciaal

Nadere informatie

Business Continuity Management conform ISO 22301

Business Continuity Management conform ISO 22301 Business Continuity Management conform ISO 22301 Onderzoek naar effecten op de prestaties van organisaties Business continuity management gaat over systematische aandacht voor de continuïteit van de onderneming,

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

Tags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines

Tags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines Asset 1 van 4 Effectief in de cloud Gepubliceerd op 7 october 2013 Cloud technologie speelt een steeds grotere rol binnen de exploitatie van web omgevingen. De voordelen van cloud zijn inmiddels breeduit

Nadere informatie

Actualiteitendag Platform Deelnemersraden Risicomanagement

Actualiteitendag Platform Deelnemersraden Risicomanagement Actualiteitendag Platform Deelnemersraden Risicomanagement Benne van Popta (voorzitter Detailhandel) Steffanie Spoorenberg (adviseur Atos Consulting) Agenda 1. Risicomanagement 2. Risicomanagement vanuit

Nadere informatie

Trendonderzoek woningcorporaties 2013

Trendonderzoek woningcorporaties 2013 Trendonderzoek woningcorporaties 2013 Corporatiebestuurders over 2020 In het najaar van 2012 spraken we in individuele gesprekken met een groot aantal bestuurders van woningcorporaties. We bespraken met

Nadere informatie

Risk & Compliance Charter Clavis Family Office B.V.

Risk & Compliance Charter Clavis Family Office B.V. Risk & Compliance Charter Clavis Family Office B.V. Datum: 15 april 2013 Versie 1.0 1. Inleiding Het Risk & Compliance Charter (charter) bevat de uitgeschreven principes, doelstellingen en bevoegdheden

Nadere informatie

Meer Business mogelijk maken met Identity Management

Meer Business mogelijk maken met Identity Management Meer Business mogelijk maken met Identity Management De weg naar een succesvolle Identity & Access Management (IAM) implementatie David Kalff OGh 14 september 2010 't Oude Tolhuys, Utrecht Agenda Herkent

Nadere informatie

Een nieuwe dimensie voor security management: sturen op integer gedrag.

Een nieuwe dimensie voor security management: sturen op integer gedrag. Een nieuwe dimensie voor security management: sturen op integer gedrag. Inleiding Security management heeft in het afgelopen decennia te maken gehad met grote veranderingen. Was er in de begin jaren 2000

Nadere informatie

Cybersecuritybeeld Nederland

Cybersecuritybeeld Nederland Cybersecuritybeeld Nederland CSBN 2015 Pieter Rogaar 12 november 2015 CSBN 2015 in het kort Doel: inzicht bieden in ontwikkelingen, belangen, dreigingen en weerbaarheid op het gebied van cybersecurity

Nadere informatie

Investment Management. De COO-agenda

Investment Management. De COO-agenda Investment Management De COO-agenda Vijf thema s 1) Markt 2) Wet- en regelgeving 3 5) Rol van de COO 5 3) Operations 4) Technologie 2012 KPMG Accountants N.V., registered with the trade register in the

Nadere informatie

IT risk management voor Pensioenfondsen

IT risk management voor Pensioenfondsen IT risk management voor Pensioenfondsen Cyber Security Event Marc van Luijk Wikash Bansi Rotterdam, 11 Maart 2014 Beheersing IT risico s Het pensioenfonds is verantwoordelijk voor de hele procesketen,

Nadere informatie

Nieuwe perspectieven vragen om actie. kpmg.nl

Nieuwe perspectieven vragen om actie. kpmg.nl Een genuanceerde visie op cybercrime Nieuwe perspectieven vragen om actie kpmg.nl 2 Nieuwe perspectieven vragen om actie Contents Voorwoord 3 Samenvatting 4 Inleiding 7 De context: een verschuivend perspectief

Nadere informatie

Factsheet Training Project Leadership Simulatie (PLS)

Factsheet Training Project Leadership Simulatie (PLS) Factsheet Training Project Leadership Simulatie (PLS) LEARNING BY DOING Kort signalement Road2Results heeft op basis van haar jarenlange ervaring met het managen van business en ICT projecten vanuit diverse

Nadere informatie

STAKEHOLDERS. Hoe gaan we daar mee om? Jacques van Unnik Manager Personnel Certification & Training 3 december 2015 BUSINESS ASSURANCE

STAKEHOLDERS. Hoe gaan we daar mee om? Jacques van Unnik Manager Personnel Certification & Training 3 december 2015 BUSINESS ASSURANCE BUSINESS ASSURANCE STAKEHOLDERS Hoe gaan we daar mee om? Jacques van Unnik Manager Personnel Certification & Training 3 december 2015 1 DNV GL 2014 Stakeholders 19 November 2015 SAFER, SMARTER, GREENER

Nadere informatie

de verwachting van de klant centraal.*

de verwachting van de klant centraal.* de verwachting van de klant centraal.* The road ahead for public service delivery Groeiende verwachtingen van klanten, bezuinigingen en demografische ontwikkelingen zijn mondiale trends die de omgeving

Nadere informatie

BUSINESS CONTINUITEIT

BUSINESS CONTINUITEIT BUSINESS CONTINUITEIT BUSINESS CONTINUITY MANAGEMENT Tine Bernaerts, Consultant risk management, Amelior Business Continuity Management volgens ISO 22301: Societal Security Business Continuity Management

Nadere informatie

NORTHWAVE Intelligent Security Operations

NORTHWAVE Intelligent Security Operations Intelligent Security Operations UW BUSINESS BETER BESCHERMD DOOR GEDREVEN EXPERTS Northwave (2006) helpt u bij het realiseren van een slim en integraal proces van informatiebeveiliging. Dat biedt u betere

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

WHITE PAPER. Informatiebeveiliging

WHITE PAPER. Informatiebeveiliging WHITE PAPER Informatiebeveiliging Door een goede, geïntegreerde inrichting van de informatiebeveiliging wordt een onderneming geholpen op een flexibele, kostenbewuste manier klanten beter te bedienen.

Nadere informatie

Seize the cloud?! Seminar Aviodrome, Lelystad 23 maart 2011

Seize the cloud?! Seminar Aviodrome, Lelystad 23 maart 2011 Seize the cloud?! Seminar Aviodrome, Lelystad 23 maart 2011 Cloud computing Waar begin je aan? Piloot Martin van den Berg, Sogeti NL 3 Agenda 4 Kijkje achter de wolken Yes, het werken in de cloud heeft

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Resultaten Onderzoek September 2014

Resultaten Onderzoek September 2014 Resultaten Onderzoek Initiatiefnemer: Kennispartners: September 2014 Resultaten van onderzoek naar veranderkunde in de logistiek Samenvatting Logistiek.nl heeft samen met BLMC en VAViA onderzoek gedaan

Nadere informatie

ACTUEEL? http://copsincyberspace.wordpress.com/

ACTUEEL? http://copsincyberspace.wordpress.com/ ACTUEEL? http://copsincyberspace.wordpress.com/ ACTUEEL? Bron: deredactie.be ACTUEEL? ACTUEEL? Gerecht onderzoekt cyberspionage bij Belgische topbedrijven Bron: De Tijd 26/08/2014 Bron: De Standaard Actueel?

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

End-note. Sven Noomen Wouter Heutmekers

End-note. Sven Noomen Wouter Heutmekers End-note Sven Noomen Wouter Heutmekers 2 Ok, en morgenvroeg? Voorstellen 25111978 14 8 4 6 23 25031981 12 3 1 1339 3 Think BIG Act SMALL 2011 Scale FAST 4 5 6 Visie & strategie Strategie Ondersteuning

Nadere informatie

Corporate Governance Code

Corporate Governance Code Corporate Governance Code Van korte- naar langetermijnwaardecreatie De Nederlandse Corporate Governance Code gaat een grote herziening tegemoet. De Monitoring Commissie heeft daartoe op februari jl. een

Nadere informatie

Strategisch Risicomanagement

Strategisch Risicomanagement Commitment without understanding is a liability Strategisch Risicomanagement Auteur Drs. Carla van der Weerdt RA Accent Organisatie Advies Effectief en efficiënt risicomanagement op bestuursniveau Risicomanagement

Nadere informatie

Kwaliteitsmanagement: de verandering communiceren!

Kwaliteitsmanagement: de verandering communiceren! Kwaliteitsmanagement: de verandering communiceren! (de mens in het proces) Ronald Vendel Business Development manager Ruim 20 jaar ervaring Gestart in 1990 Software specialisme: Procesmanagement (BPM)

Nadere informatie

voor al uw maatwerk trainingen

voor al uw maatwerk trainingen voor al uw maatwerk trainingen voor al uw maatwerk trainingen Als u wilt dat uw medewerkers weten hoe te handelen bij calamiteiten of dat u uw medewerkers handvatten aan wilt reiken waardoor zij waardevoller

Nadere informatie

EXIN WORKFORCE READINESS werkgever

EXIN WORKFORCE READINESS werkgever EXIN WORKFORCE READINESS werkgever DE ERVARING LEERT ICT is overal. Het is in het leven verweven geraakt. In een wereld waarin alles steeds sneller verandert, is het lastig te bepalen wat er nodig is om

Nadere informatie

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus Inhoud Compliance vakgebied en organisatie CMMI software en systems engineering

Nadere informatie

Wat is competentiemanagement en hoe ga je ermee om? Welke resultaten zijn er te behalen? Welke valkuilen kom je tegen?

Wat is competentiemanagement en hoe ga je ermee om? Welke resultaten zijn er te behalen? Welke valkuilen kom je tegen? Competentiemanagement Wat is competentiemanagement en hoe ga je ermee om? Welke resultaten zijn er te behalen? Welke valkuilen kom je tegen? Vragen die door de praktijkervaringen van de afgelopen jaren

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Regie uit een andere Branche. Hoe om te gaan met de vraag en de levering. Facto Magazine Congres 12 mei 2009. www.quintgroup.com

Regie uit een andere Branche. Hoe om te gaan met de vraag en de levering. Facto Magazine Congres 12 mei 2009. www.quintgroup.com Regie uit een andere Branche Facto Magazine Congres 12 mei 2009 Hoe om te gaan met de vraag en de levering THIS DOCUMENT CONTAINS PROPRIETARY INFORMATION, WHICH IS PROTECTED BY COPYRIGHT. ALL RIGHTS RESERVED.

Nadere informatie

Praktische tips voor informatiebescherming PRAKTISCHE TIPS OM U EN UW INWONERS TE BESCHERMEN TEGEN CYBERCRIMINELEN

Praktische tips voor informatiebescherming PRAKTISCHE TIPS OM U EN UW INWONERS TE BESCHERMEN TEGEN CYBERCRIMINELEN PRAKTISCHE TIPS OM U EN UW INWONERS TE BESCHERMEN TEGEN CYBERCRIMINELEN ISACA in 82 landen ISACA 1978 +100.000 2003 +18.000 2008 +5.000 2010 +16.000 +700 mensen gecertifieerd in België +200 uren opleiding

Nadere informatie

Security manager van de toekomst. Bent u klaar voor de convergentie?

Security manager van de toekomst. Bent u klaar voor de convergentie? Security manager van de toekomst Bent u klaar voor de convergentie? Agenda Introductie Convergentie - De rol en positie van Security in beweging - Wat zien we in de praktijk? - Waar gaat het naar toe?

Nadere informatie

Whitepaper. Inzetten op integrale veiligheid

Whitepaper. Inzetten op integrale veiligheid Whitepaper Inzetten op integrale veiligheid Inzetten op integrale veiligheid Verliezen lijden? Door fraude, diefstal of schade? Of letsel? Daar zit u niet op te wachten. Sterker nog, u heeft zich ertegen

Nadere informatie

Onderzoeksresultaten duurzaam ondernemen. Middenbedrijf heeft veel oog voor groen ondernemen

Onderzoeksresultaten duurzaam ondernemen. Middenbedrijf heeft veel oog voor groen ondernemen Onderzoeksresultaten duurzaam ondernemen Middenbedrijf heeft veel oog voor groen ondernemen Juni 2014 Inhoudsopgave Samenvatting 2 Onderzoeksresultaten 3 Contactpersonen 6 Onderzoeksresultaten groen ondernemen

Nadere informatie

NTA 8595 Beroepsprofiel Erkend Risicoadviseur

NTA 8595 Beroepsprofiel Erkend Risicoadviseur NTA 8595 Beroepsprofiel Erkend Risicoadviseur Erik van de Crommenacker, projectleider NTA 8595 Nationale-Nederlanden Overzicht Vraag vanuit de markt NTA 8595: stap voor stap Resumerend Beroepsprofiel Erkend

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

EXIN WORKFORCE READINESS opleider

EXIN WORKFORCE READINESS opleider EXIN WORKFORCE READINESS opleider DE ERVARING LEERT ICT is overal. Het is in het leven verweven geraakt. In een wereld waarin alles steeds sneller verandert, is het lastig te bepalen wat er nodig is om

Nadere informatie

CYBERCRIME. Datarisico s onder controle

CYBERCRIME. Datarisico s onder controle CYBERCRIME Datarisico s onder controle Wat is cybercrime? In het digitale tijdperk bent u als ondernemer extra kwetsbaar. Criminelen breken tegenwoordig niet meer alleen in via deuren en ramen. Ze maken

Nadere informatie

Wat is marketing dan wel? De beste omschrijving komt uit het Engels.

Wat is marketing dan wel? De beste omschrijving komt uit het Engels. KENNETH NIEUWEBOER M arketing is meer dan het ontwikkelen van een logo en het bewaken van je huisstijl. Als er een goede strategie achter zit, levert marketing een wezenlijke bijdrage aan het rendement

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij

De essentie van de nieuwe ISO s. Dick Hortensius, NEN Milieu & Maatschappij De essentie van de nieuwe ISO s Dick Hortensius, NEN Milieu & Maatschappij 1 Waar ik het over ga hebben De uitdaging en de oplossing De HLS voor iedereen De HLS voor wie het wil Waar we staan en wat er

Nadere informatie

BCM Volwassenheid. Het VKA BCM Maturity Model. 15-02-2006 Steven Debets

BCM Volwassenheid. Het VKA BCM Maturity Model. 15-02-2006 Steven Debets BCM Volwassenheid Het VKA BCM Maturity Model 15-02-2006 Steven Debets Inhoud Aanleiding BCM Maturity model en Quick Scan Resultaten Marktscan 2 3 4 Effectieve implementatie; Een goede blauwdruk als basis.

Nadere informatie

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging

Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging Beveiligingsmaatregelen voor een doeltreffende Cyber verdediging ivo.depoorter@v-ict-or.be V-ICT-OR Vlaamse ICT organisatie Ons overkomt dit niet.of toch? Inschatting Risico Kans X Schade Zijn wij een

Nadere informatie

Welkom op dit symposium met de pakkende titel Cybercrime, de digitale vijand voor ons allen.

Welkom op dit symposium met de pakkende titel Cybercrime, de digitale vijand voor ons allen. Speech Erik Akerboom, Secretaris-generaal Ministerie van Defensie Symposium KVNRO Cybercrime, de digitale vijand voor ons allen Donderdag 20 november, KMA te Breda Dames en heren, Welkom op dit symposium

Nadere informatie

IMPACT OP (AANPAK VAN) ORGANISATIES

IMPACT OP (AANPAK VAN) ORGANISATIES Governance, risk en compliance Internationale anticorruptiewetgeving IMPACT OP (AANPAK VAN) ORGANISATIES Het World Economic Forum schat de financiële schade door fraude en corruptie wereldwijd op 2600

Nadere informatie

Global Project Performance

Global Project Performance Return on investment in project management PMO IMPLEMENTATIE PRINCE2 and The Swirl logo are trade marks of AXELOS Limited. PMO PROJECT MANAGEMENT OFFICE Een Project Management Office voorziet projecten,

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

De klant centraal. Het veranderende communicatielandschap in de financiële sector CANON BUSINESS SERVICES

De klant centraal. Het veranderende communicatielandschap in de financiële sector CANON BUSINESS SERVICES De klant centraal Het veranderende communicatielandschap in de financiële sector CANON BUSINESS SERVICES Om een duidelijk beeld te krijgen van de factoren die de komende drie jaar van invloed zijn op de

Nadere informatie

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug. NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal

Nadere informatie

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31 (0)6 13 38 00 36 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie

Nadere informatie

Factsheet SECURITY CONSULTANCY Managed Services

Factsheet SECURITY CONSULTANCY Managed Services Factsheet SECURITY CONSULTANCY Managed Services SECURITY CONSULTANCY Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

DOORSTAAT UW RISICOMANAGEMENT DE APK?

DOORSTAAT UW RISICOMANAGEMENT DE APK? WHITEPAPER DOORSTAAT UW RISICOMANAGEMENT DE APK? DOOR M. HOOGERWERF, SENIOR BUSINESS CONS ULTANT Risicomanagement is tegenwoordig een belangrijk onderdeel van uw bedrijfsvoering. Dagelijks wordt er aandacht

Nadere informatie

10 voordelen van de bedrijfskundige scan voor (MKB-) ondernemingen

10 voordelen van de bedrijfskundige scan voor (MKB-) ondernemingen 10 voordelen van de bedrijfskundige scan voor (MKB-) ondernemingen Inhoud Introductie / samenvatting... 3 10 Voordelen van de Bedrijfskundige Scan... 4 1. Bedrijfskundige scan geeft u inzicht... 4 2. De

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

We doen niets waarvoor de klant niet zou willen betalen!

We doen niets waarvoor de klant niet zou willen betalen! We doen niets waarvoor de klant niet zou willen betalen! Gewenste resultaten Klanten de hoogste kwaliteit, betrouwbaarheid tegen de laagste kosten. Medewerkers zingeving, veiligheid en een eerlijke behandeling.

Nadere informatie

DNB BCM Seminar 2013 Speech Frank Elderson Woensdag 27 november 2013

DNB BCM Seminar 2013 Speech Frank Elderson Woensdag 27 november 2013 DNB BCM Seminar 2013 Speech Frank Elderson Woensdag 27 november 2013 Vrijdag middag 5 april. Net lekker geluncht en dan: bericht van het sector crisismanagement secretariaat. Trouble in paradise!!! Er

Nadere informatie